Qu'est-ce que la gestion des correctifs ? Cycle de vie, avantages et meilleures pratiques

Pourquoi la gestion des correctifs est-elle importante ?

Le nombre et la diversité des terminaux nécessitant des correctifs explosent avec l'arrivée des réseaux 5G, la prolifération des applications mobiles et le déploiement croissant de la technologie IoT par les entreprises. De plus, l'essor de l'IA fournit aux pirates informatiques de nouveaux outils pour pénétrer les réseaux. Tout cela rend la gestion des correctifs à la fois plus complexe et plus essentielle.

La gestion des correctifs permet de garantir la sécurité, la fiabilité et la mise à jour des ordinateurs et des réseaux grâce à des fonctionnalités jugées importantes par l'organisation. Il s'agit d'un processus essentiel pour garantir et documenter la conformité aux réglementations en matière de sécurité et de confidentialité. Elle peut également améliorer les performances et est parfois utilisée pour mettre à jour les logiciels afin qu'ils fonctionnent avec les derniers matériels.

Comment fonctionne la gestion des correctifs ?

La gestion des correctifs fonctionne différemment selon qu'un correctif est appliqué à un système autonome ou à des systèmes sur un réseau d'entreprise. Sur un système autonome, le système d'exploitation et les applications effectuent périodiquement des vérifications automatiques pour voir si des correctifs sont disponibles. Les nouveaux correctifs sont souvent téléchargés et installés automatiquement.

Dans les environnements en réseau, les organisations s'efforcent généralement de maintenir la cohérence des versions logicielles sur tous les ordinateurs et procèdent généralement à une gestion centralisée des correctifs plutôt que de permettre à chaque ordinateur de télécharger ses propres correctifs. La gestion centralisée des correctifs utilise une application logicielle serveur qui vérifie le matériel réseau à la recherche de correctifs manquants, télécharge les correctifs manquants et les distribue aux ordinateurs et autres périphériques du réseau.

Un serveur centralisé de gestion des correctifs ne se contente pas d'automatiser la gestion des correctifs, il permet également à l'entreprise de mieux contrôler le processus de gestion des correctifs. Par exemple, si un correctif particulier s'avère problématique, l'entreprise peut configurer son logiciel de gestion des correctifs afin d'empêcher le déploiement de ce correctif.

Un autre avantage de la gestion centralisée des correctifs est qu'elle permet d'économiser la bande passante Internet. D'un point de vue bande passante, il n'est pas très judicieux de permettre à chaque ordinateur d'une organisation de télécharger exactement le même correctif. Au lieu de cela, le serveur de gestion des correctifs peut télécharger le correctif une seule fois et le distribuer à tous les ordinateurs désignés pour le recevoir.

Bien que de nombreuses organisations gèrent elles-mêmes la gestion des correctifs, certains fournisseurs de services gérés (MSP) assurent cette gestion en conjonction avec les autres services de gestion de réseau qu'ils fournissent à leurs clients, ce qui permet de réduire au minimum les tracas administratifs liés à la réalisation de cette tâche en interne.

Quels sont les avantages de la gestion des correctifs ?

La plupart des grands éditeurs de logiciels publient régulièrement des correctifs qui peuvent avoir trois objectifs principaux :

1. Les correctifs sont souvent utilisés pour corriger les failles de sécurité. Si un éditeur de logiciels découvre un nouveau risque de sécurité dans l'un de ses produits, tel qu'une vulnérabilité zero-day, il publie généralement rapidement un correctif pour y remédier. Il est important que les entreprises appliquent les correctifs de sécurité dès que possible, car les pirates informatiques et les auteurs de logiciels malveillants connaissent les failles de sécurité qu'un correctif est censé corriger et recherchent activement les systèmes non corrigés.
2. Les correctifs permettent de corriger les bogues, d'améliorer la stabilité du logiciel et d'éliminer les problèmes gênants.
3. Les fournisseurs publient également des correctifs pour introduire de nouvelles fonctionnalités logicielles. Les mises à jour de fonctionnalités sont de plus en plus courantes en raison de la croissance des logiciels cloud basés sur un abonnement.

Quels sont les défis liés à la gestion des correctifs ?

Les correctifs bogués sont le problème le plus courant dans la gestion des correctifs. Parfois, un correctif introduit des problèmes qui n'existaient pas auparavant. Ceux-ci peuvent apparaître dans le produit corrigé ou dans d'autres logiciels qui ont une relation de dépendance avec le logiciel corrigé. Un correctif peut également devoir être supprimé si le fournisseur publie un correctif qui ne peut pas être mis en place tant que le correctif précédent reste sur le système. Comme les correctifs peuvent parfois causer des problèmes dans un système qui fonctionnait correctement auparavant, il est important que les administrateurs testent certains correctifs avant de les déployer.

Un autre problème courant est que les systèmes déconnectés peuvent ne pas recevoir les correctifs en temps opportun. Par exemple, si un utilisateur mobile se connecte rarement au réseau de l'entreprise, son appareil peut rester longtemps sans être mis à jour. Dans ce cas, il peut être préférable de configurer l'appareil pour une gestion autonome des correctifs plutôt que de s'appuyer sur une gestion centralisée.

La forte augmentation du télétravail provoquée par la pandémie de COVID-19 a ajouté un nouveau problème : la gestion des correctifs sur un plus grand nombre de terminaux qui se connectent au réseau via divers mécanismes de sécurité. Alors que certains utilisateurs peuvent se connecter à des applications via un VPN hautement sécurisé, d'autres peuvent utiliser l'authentification unique depuis l'Internet public, se connecter à certaines applications individuellement ou utiliser des réseaux Wi-Fi non sécurisés. Ce faisant, ils exposent davantage de points d'entrée aux pirates informatiques dans le réseau de l'entreprise, ce qui peut se traduire par un plus grand nombre de correctifs à déployer.

Les meilleures pratiques en matière de gestion des correctifs à distance, notamment les contrôles d'accès à distance et les dispositions de restauration permettant de maintenir les systèmes en état de fonctionnement en cas de perte de connexion, permettent de maintenir les systèmes à jour, quel que soit leur emplacement.

Cycle de vie de la gestion des correctifs

Les principales étapes du processus de gestion des correctifs (identification, acquisition, test, déploiement et documentation des correctifs) s'appuient sur les étapes importantes suivantes :

• Inventaire des appareils, des systèmes d'exploitation et des applications.
• Décider quelles versions logicielles standardiser.
• Catégorisation des actifs informatiques et des correctifs en fonction du risque et de la priorité.
• Tester les correctifs dans un laboratoire représentatif ou un environnement sandbox.
• Exécution d'un projet pilote sur un échantillon d'appareils (étape facultative).
• Planifier le déploiement, notamment en identifiant les personnes responsables et les correctifs à installer sur chaque appareil.
• Vérification de l'installation des correctifs.
• Systèmes de surveillance continue des correctifs manquants.
• Documenter les correctifs, les vulnérabilités, les résultats des tests et les déploiements, ce qui aide à analyser et à améliorer le processus.

Meilleures pratiques en matière de gestion des correctifs

Les fournisseurs de logiciels de gestion de systèmes, les MSP et les consultants possèdent une expertise qui leur permet de rendre le déploiement des correctifs fluide et efficace. Parmi les meilleures pratiques souvent mentionnées en matière de gestion des correctifs, on trouve les 10 recommandations suivantes :

1. Sachez ce que vous devez corriger. Cela implique d'identifier clairement les cibles des correctifs et leur emplacement. De plus, la création ou l'acquisition d'un catalogue de correctifs permet de les organiser.
2. Élaborez des procédures standard et d'urgence pour l'application des correctifs. Les correctifs d'urgence doivent être installés en dehors des fenêtres prévues pour l'application régulière des correctifs. Il convient de définir des procédures claires pour les deux types de correctifs.
3. Comprenez les calendriers de publication des correctifs des fournisseurs. Le nombre et les types de systèmes d'exploitation, d'applications et d'installations de micrologiciels sur les terminaux varient considérablement, tout comme le calendrier de publication des correctifs disponibles pour ceux-ci.
4. Concevez et maintenez un environnement de test réaliste. Il doit correspondre étroitement à l'environnement de production, y compris les fluctuations de la charge de travail, et devra être mis à jour lorsque l'environnement de production sera modifié. Un environnement de test peut être coûteux et difficile à mettre à l'échelle, c'est pourquoi on utilise souvent à la place un échantillon représentatif des actifs. Une autre option consiste à utiliser un environnement de test virtuel conçu pour reproduire l'environnement de production sur un seul ordinateur ou un service cloud tel qu'AWS ou Microsoft Azure. Il existe également des services en ligne qui gèrent le processus de réplication.
5. Examinez le processus de correction et ses résultats. L'analyse des indicateurs clés de performance (KPI) liés à la gestion des correctifs peut également aider à identifier les améliorations potentielles.
6. Classez les correctifs par ordre de priorité en fonction du niveau de risque. Attribuez aux actifs un niveau de criticité en fonction de leur importance pour les processus métier, du temps d'indisponibilité optimal et du risque de vulnérabilité. Testez, planifiez et appliquez les correctifs pour les actifs les plus critiques avant ceux qui sont moins essentiels.
7. Restez informé des failles de sécurité. Pour les logiciels commerciaux, abonnez-vous à des sources fiables, telles que le catalogue Common Vulnerabilities and Exposures du gouvernement américain. Pour les applications développées en interne, utilisez un outil d'analyse de la composition logicielle afin de suivre leurs composants open source et tiers.
8. Déployez les correctifs aussi rapidement que possible. Les utilisateurs pourraient se plaindre d'être gênés, mais plus vous attendez, plus les pirates informatiques ont de chances de trouver une faille.
9. Procédez au déploiement de la production par étapes. Consacrez le déploiement initial aux systèmes les moins critiques. Si les correctifs fonctionnent comme prévu, poursuivez le déploiement jusqu'à ce que tous les systèmes soient mis à jour.
10. Élaborez un plan d'urgence et de restauration. En cas de problème, disposez d'une sauvegarde ou d'un instantané des systèmes avant de commencer le déploiement des correctifs afin de pouvoir les restaurer dans leur état précédent.

Exemples de gestion des correctifs

Microsoft fournit régulièrement des correctifs pour ses systèmes d'exploitation Windows et ses applications telles qu'Office. Ces correctifs sont généralement publiés chaque mois, souvent le mardi, jour désormais connu sous le nom de « Patch Tuesday ».

Les systèmes autonomes s'appuient sur Windows Update pour télécharger et déployer automatiquement les correctifs disponibles. Dans les environnements professionnels, il est beaucoup plus courant d'utiliser Windows Server Update Services (WSUS), qui est inclus dans Windows Server et spécialement conçu pour centraliser la gestion des correctifs. Il existe également de nombreuses alternatives WSUS tierces pour gérer, télécharger et déployer les correctifs Microsoft.

De nombreux services informatiques gèrent également des systèmes fonctionnant sous le système d'exploitation open source Linux. La gestion des correctifs Linux est similaire à celle de Windows, mais il existe davantage de distributions Linux, ce qui signifie qu'il faut se familiariser avec les différentes procédures de correction de plusieurs fournisseurs plutôt que d'un seul. Apple macOS dispose également d'outils de mise à jour logicielle intégrés.

Une organisation peut disposer de plusieurs versions d'un système d'exploitation, ce qui rend difficile la mise à jour de tous les systèmes sans recourir à une gestion centralisée des correctifs. De nombreux outils tiers de gestion des correctifs prennent en charge macOS, ainsi que Windows et Linux.

Gestion des correctifs dans le domaine de la cybersécurité et gestion des vulnérabilités

L'augmentation des cyberattaques ces dernières années fait de la cybersécurité la raison la plus impérieuse pour déployer des correctifs. La gestion des correctifs est un élément important de la gestion des vulnérabilités, une stratégie beaucoup plus large visant à découvrir, hiérarchiser et corriger les vulnérabilités de sécurité des actifs réseau. La gestion des correctifs corrige les risques identifiés lors d'une évaluation de la vulnérabilité en mettant à niveau le logiciel vers la version la plus récente ou en l'appliquant temporairement un correctif pour supprimer une vulnérabilité jusqu'à ce que le fournisseur du logiciel publie une mise à niveau contenant le correctif.

Compte tenu de l'importance accordée à la cybersécurité, les tests de correctifs logiciels comprennent également la documentation du processus de test à des fins de conformité en matière de sécurité, ainsi que l'élaboration de plans alternatifs de gestion des vulnérabilités au cas où les correctifs de sécurité ne pourraient pas être installés sur les appareils requis.

La gestion des vulnérabilités comprend les étapes suivantes :

• Analyse du réseau pour identifier les utilisateurs et les appareils connectés, la même technique que celle utilisée par les pirates informatiques pour rechercher des cibles vulnérables.
• Test d'intrusion, qui imite les tactiques des pirates informatiques afin d'identifier les points faibles du réseau.
• Vérification visant à confirmer qu'une vulnérabilité identifiée lors de l'analyse et des tests peut effectivement être exploitée.
• Atténuation, par exemple mettre hors ligne un système vulnérable afin d'empêcher l'exploitation des vulnérabilités avant qu'un correctif ne soit disponible.
• Rapports utilisant des outils de gestion des données, d'analyse prédictive et de visualisation pour évaluer le processus de gestion des vulnérabilités de l'organisation et se conformer à la réglementation.

Ces dernières années, les équipes informatiques et de sécurité ont commencé à appliquer davantage de méthodes de gestion des risques afin d'améliorer l'efficacité et l'efficience de leurs stratégies de gestion des correctifs et des vulnérabilités. La gestion des vulnérabilités basée sur les risques donne la priorité aux problèmes qui présentent le plus grand risque pour les systèmes les plus critiques. Elle consiste à identifier les besoins spécifiques et la posture de sécurité d'une organisation plutôt que de gaspiller des ressources à la poursuite de menaces génériques. Les risques sont évalués à l'aide d'outils tels que le Common Vulnerability Scoring System.

Le même type d'analyse des risques est de plus en plus appliqué au processus de désignation des correctifs à déployer. Dans le cadre de la gestion des correctifs basée sur les risques, les organisations évaluent le risque présenté par le problème qu'un correctif est censé résoudre, puis commencent par déployer les correctifs qui affectent les systèmes critiques ou répondent à d'autres priorités, telles que la conformité réglementaire.

Une catégorie distincte d'outils de gestion des vulnérabilités est utilisée pour planifier et documenter ces processus et les automatiser en partie. Certains outils de gestion des vulnérabilités intègrent la gestion des correctifs.

Comment choisir le bon logiciel de gestion des correctifs

Les outils de gestion des correctifs sont disponibles sur site ou dans le cloud, et de nombreux fournisseurs proposent les deux options de déploiement, même si le SaaS commence à s'imposer.

Outre la gestion des correctifs depuis le cloud, les nouveaux outils répondent expressément aux besoins spécifiques des systèmes cloud en matière de correctifs, qui ont pris de l'importance à mesure que les entreprises transfèrent davantage d'applications vers le cloud. Ces outils de gestion des correctifs cloud permettent de clarifier les responsabilités relatives aux différentes plateformes cloud et bases de données fournies par différents fournisseurs, afin de garantir que toutes les vulnérabilités importantes puissent être détectées et corrigées. Les services de gestion des correctifs fournis par les plateformes cloud telles qu'AWS et Azure couvrent la plupart des besoins, mais chacun présente certaines limites. Vous aurez généralement besoin d'outils tiers pour combler ces lacunes.

Si certains fournisseurs se spécialisent dans la gestion des correctifs, la plupart l'intègrent dans une gamme plus large d'outils de gestion des systèmes informatiques, de gestion des terminaux ou de sécurité et de conformité. Parmi les principaux acteurs, citons Atera, Automox, GFI LanGuard, Kaseya VSA, ManageEngine Patch Manager Plus et SolarWinds Patch Manager.

Avant que les organisations n'étudient les produits, il est important qu'elles élaborent une politique complète de gestion des correctifs. En classant les raisons qui les poussent à déployer des correctifs et en précisant qui doit être impliqué, comment les correctifs seront testés, mis en œuvre et surveillés, et quel type de rapport est requis, les organisations auront plus de chances de trouver le logiciel qui répond exactement à leurs besoins.

Les équipes chargées des achats doivent rechercher des tableaux de bord faciles à configurer, à comprendre et à utiliser, et capables d'afficher les informations dont elles ont besoin. Les fonctionnalités de reporting et de documentation doivent également être conviviales et capables de traiter les informations requises sur les vulnérabilités, les résultats des tests et l'historique des correctifs. Le logiciel doit prendre en charge les correctifs pour tous les systèmes d'exploitation et toutes les applications principales utilisés dans l'organisation. La plupart des fournisseurs indiquent les systèmes d'exploitation et les applications commerciales pour lesquels leurs produits peuvent fournir des correctifs.

Parmi les autres fonctionnalités importantes de gestion des correctifs, on peut citer les suivantes :

• Visibilité en temps réel sur les périphériques réseau et les logiciels.
• La possibilité de classer les correctifs par ordre de priorité en fonction de leur criticité.
• Contrôles administratifs pour l'approbation des correctifs.
• Gestion automatisée des correctifs, souvent grâce à l'utilisation de chatbots IA génératifs, avec un réglage précis qui facilite l'exclusion de certains correctifs et terminaux.
• Réception en temps opportun des mises à jour logicielles et des correctifs fournis par le fournisseur.
• La possibilité de programmer des politiques de gestion des correctifs dans le système.
• Validation des correctifs afin d'identifier et de tester les correctifs applicables, et vérification afin de confirmer que les correctifs déployés ont pris effet.

Les organisations qui prennent le temps d'élaborer une politique de gestion des correctifs, de mettre en place un processus complet de gestion des correctifs et d'utiliser les outils logiciels qui soutiennent le mieux ces efforts réussiront probablement à rendre leurs systèmes informatiques fiables, sécurisés et à la pointe de la technologie.

David Essex est un rédacteur spécialisé dans les applications d'entreprise, les technologies émergentes et les tendances du marché. Il crée des contenus approfondis pour plusieurs sites Web TechTarget.

Brien Posey a été nommé 22 fois MVP Microsoft et est candidat astronaute commercial. Au cours de ses plus de 30 années dans le domaine des technologies de l'information, il a occupé les fonctions d'ingénieur réseau en chef pour le ministère américain de la Défense et d'administrateur réseau pour certaines des plus grandes compagnies d'assurance des États-Unis.